Si te estás preparando para tu primer informe SOC 2, probablemente desees poder preguntarle a alguien cómo es realmente pasar por una auditoría. ¿Qué desearían haber sabido de antemano? ¿Qué harían de manera diferente? ¿Qué consejos y trucos descubrieron en el camino?

Para nuestra última sesión de Secureframe Office Hours | Ask an Expert, el gerente de cumplimiento de Secureframe, Rob Gutierrez, se unió a Scott Savarie de Current para compartir perspectivas de primera mano sobre cómo obtener la conformidad SOC 2. Current es una plataforma en proceso de desarrollo para la visibilidad de equipos de producto, diseño e ingeniería para comunicarse y colaborar en tiempo real. Los equipos pueden compartir archivos de diseño, publicar en Slack para obtener comentarios oportunos y mantener a los interesados informados con resúmenes semanales sobre el progreso del proyecto.

Durante la sesión de preguntas y respuestas en vivo de 30 minutos, Scott compartió su experiencia pasando por una auditoría SOC 2, desde la creación de una biblioteca de políticas y la configuración de controles hasta trabajar con el auditor para su informe Tipo I. Él y Rob respondieron una serie de preguntas sobre los aspectos prácticos del cumplimiento SOC 2, desde cuántas horas se necesitan para prepararse para una auditoría hasta decidir si los contratistas están dentro del alcance. Consulta el resumen de sus respuestas a continuación.

¿Qué motivó a Current a buscar un informe SOC 2?

Scott: Comenzamos a obtener cierta tracción inicial para el producto, pero durante las llamadas de incorporación y ventas inevitablemente chocábamos contra una pared con el equipo de seguridad del proveedor. Llegó un punto en el que podríamos seguir desarrollando nuestra hoja de ruta del producto y centrarnos en nuevas funciones, o dedicar parte de ese tiempo a mejorar nuestras operaciones y buscar la conformidad SOC 2.

Elegimos completar un informe SOC 2 Tipo I y actualmente estamos en nuestra ventana de auditoría para nuestro informe Tipo II. Una vez que estábamos en progreso y mostrando nuestra intención de cumplir, eso abrió oportunidades para realizar pilotos y pruebas internas. Una vez que obtuvimos nuestro informe Tipo I, pudimos proceder con los acuerdos de nivel de servicio (SLA).

¿Qué otros proveedores de automatización de cumplimiento consideró Current?

Scott: Hablamos con algunos proveedores en el espacio, pero las llamadas eran muy enfocadas en ventas. Eso fue algo molesto para nosotros. Nuestras llamadas con Secureframe no fueron así: siempre tuvimos una buena conexión con las personas de Secureframe, donde sentimos que serían un socio real para nosotros mientras construíamos nuestro programa de seguridad.

¿En dónde ves que las pequeñas empresas gastan tiempo excesivo en sus esfuerzos de SOC 2 que podrían pasar mejor en otros aspectos?

Scott: En nuestro caso, no necesariamente queríamos tomar seis semanas para cambiar el enfoque de la hoja de ruta del producto a trabajar en los cambios de infraestructura y poner en marcha procesos y realizar capacitación en seguridad y todo eso. Pero la compensación fue que, sin eso, nunca íbamos a obtener comentarios sobre el producto.

Con el software B2B realmente tienes que tener un informe SOC 2 solo para poder empezar. Sin él, la gente ni siquiera va a poder usar tu producto.

¿Puedes dar algunos ejemplos de cómo usaste Secureframe para simplificar el proceso de cumplimiento?

Scott: Secureframe fue muy útil con nuestro monitoreo de infraestructura. Usamos AWS para toda nuestra infraestructura y backend, y con las integraciones de Secureframe pudimos monitorear todo las 24 horas del día y ver si ciertas pruebas estaban pasando o fallando. Eso ya es muy útil.

Además, tener una biblioteca de plantillas de políticas y un lugar para implementarlas internamente fue muy útil. Honestamente, no puedo imaginarme haciendo eso sin Secureframe.

No todos nuestros empleados están en el alcance, hay un subconjunto de nosotros trabajando en Current, y podemos configurarlo dentro de Secureframe. Hace que sea fácil monitorear cosas como si las personas que están en el alcance para nuestro SOC 2 han configurado los ajustes adecuados en sus dispositivos. El Agente de Secureframe te permite verificar que esas personas tienen las políticas de contraseña correctas, están usando discos duros cifrados, todos esos requisitos de puntos finales están en su lugar.

¿Cuál es el nivel típico de esfuerzo requerido para que una empresa de software startup logre un SOC 2 Tipo I?

Scott: Nos tomó aproximadamente un mes prepararnos para la auditoría. Simplemente nos mordimos la bala y lo hicimos todo. 

Las políticas fueron lo más consumía tiempo para mí. Primero tienes que leerlas todas, lo cual toma tiempo, y luego implementarlas en toda la empresa también. 

Podrías tener una reunión anual de revisión de seguridad, lo cual no es necesariamente difícil de hacer, pero necesitas tener una página en Notion donde mantienes notas y estableces una invitación recurrente para la reunión y luego subes esa evidencia en Secureframe. Tienes que seguir una serie de pasos como ese para muchas de las políticas y controles.

La otra parte que consume tiempo es perseguir a las personas para que completen la capacitación en seguridad y asegurarte de que tengan los ajustes correctos en los puntos finales. 

¿Hay otros costos asociados con el proceso de cumplimiento, o la inversión fue puramente tiempo dedicado? 

Scott: Tuvimos algunos otros costos. Tuvimos que hacer una prueba de penetración, y tendremos que hacerla nuevamente en un año, lo cual cuesta unos cuantos miles de dólares. Hubo algunos costos mínimos relacionados con las verificaciones de antecedentes de los empleados. Luego está el costo de la auditoría actual, por supuesto. Secureframe tiene relaciones con algunas de las principales firmas contables con las que puedes reunirte y elegir.

¿Cuál es la experiencia de Current al completar una evaluación de preparación antes de la auditoría? 

Scott: Hicimos una pre-auditoría con Rob y nuestro CSM Jared, donde revisamos nuestra postura de seguridad general y nos aseguramos de estar completamente preparados antes de comenzar la auditoría con el CPA. 

Rob: Cada cliente recibe un gerente de soporte al cliente y un gerente de cumplimiento para apoyarlos durante su viaje. Parte de eso es una llamada de preparación antes de la auditoría para revisar la instancia del cliente y discutir qué esperar de la auditoría en sí. 

En el caso de Scott, donde está haciendo un Tipo I seguido inmediatamente por un Tipo II, hablamos sobre algunas de esas diferencias y qué esperar. 

Mi mayor objetivo en estas llamadas siempre es asegurarme de que el cliente esté completamente preparado para su auditoría y, más importante, que se sienta cómodo y seguro de que va a obtener su informe.  

¿Qué mejores prácticas puedes compartir para la preparación de la auditoría SOC 2 Tipo II?

Scott: Sentí que estaba en bastante buena forma con el equipo de Secureframe. Acabábamos de completar nuestra auditoría de Tipo I y comenzamos el Tipo II de inmediato, así que sentí que habíamos hecho toda la preparación con anticipación. 

Tal vez una cosa a tener en cuenta es que con la prueba de penetración y la auditoría de Tipo I, no es tan rígido como esperaba. Hay conversaciones que se pueden tener. Por ejemplo, nuestro probador de penetración encontró algunos problemas, pudimos resolver esos problemas y luego repitieron la prueba antes de emitir un resultado brillante de la prueba de penetración. Lo mismo ocurre con la auditoría de Tipo I. Hubo algunas cosas en las que el auditor no estaba claro o necesitaba una pieza adicional de evidencia y pudimos proporcionarla. No necesitas estresarte tanto de antemano para tener todo en orden porque tienes la oportunidad de corregir el rumbo. Las brechas se pueden remediar durante todo el proceso y tuvimos la orientación necesaria de Secureframe para hacerlo con éxito.

¿Cuántas horas le tomó al equipo de Current prepararse para un SOC 2 Tipo I?

Scott: Nos dedicamos por completo durante un mes. Una vez que el 90% del trabajo de preparación estaba hecho, había un par de cosas que teníamos que esperar, así que pudimos volver a trabajar en las características. Cosas como esperar a que llegue el resultado de una verificación de antecedentes, o tal vez hayas hecho algunos cambios en AWS pero las pruebas toman un poco de tiempo para validar que todo esté configurado correctamente.

Puedes decidir hacerlo de varias maneras. Puedes asignar una fuerza de tarea o dedicar una parte de tu tiempo durante un período más largo. Pero decidimos hacer de esto nuestra prioridad número 1 y hacerlo lo más rápido posible.

Mantente informado sobre el próximo Webinar de Secureframe Expert Insights

Organizamos seminarios web de Secureframe regularmente para abordar los mayores problemas de seguridad, privacidad y cumplimiento que escuchamos de clientes potenciales, clientes y nuestros expertos internos en cumplimiento. Encuentra seminarios web próximos y grabaciones bajo demanda de seminarios web anteriores en nuestra biblioteca de recursos de cumplimiento.